Go to Qiita Advent Calendar 2024 Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@KoukiNakae

Burp Suiteを使ってiPhoneのHTTPトラフィックを確認する

Last updated at Posted at 2024-12-14

背景

外部APIを使用したWEBアプリケーション開発では、エンドポイントに送信したリクエストに対してどのようなレスポンスが返されたのかを確認するために、HTTPトラフィックの解析が必要になることが多い。

PCではディベロッパーツールを利用することで簡単に解析が可能だが、モバイル端末におけるブラウザ以外のアプリケーションがどのような通信を行っているのかを確認する方法には、少し工夫が必要となる。

本記事では、そのようなケースに対応するための1つの方法としてBurpSuiteを取り上げ、
設定手順などを備忘録として記録する。

Burp Suiteとは

Burp Suiteは、Webアプリケーションのセキュリティテストを行うための統合プラットフォームである。
ポートスウィガー(PortSwigger)社が開発したツールで、主にWebアプリケーションの脆弱性診断やセキュリティ検査を行う際に使用されることが多い。セキュリティ専門家やペネトレーションテスターに広く利用されている。

使用環境・ソフトウェア

  • Windows 11
  • iPhone SE(第3世代) iOS version 17.6.1
  • Burp suite Community Edition

手順.1 Burp Suiteのインストール

1.1 公式サイトからBurp Suiteをダウンロード

https://portswigger.net/burp/releases/professional-community-2021-4-2?requestededition=communityからインストール

1.png

1.2 インストーラーを起動

ダウンロードされたインストーラーを起動

2.png

Nextを押下

3.png

インストール先指定(特に指定がなければデフォルトでOK)

4.png

ショートカットの作成先指定(特に指定がなければデフォルトでOK)

5.png

インストール完了、Finish押下

6.png

手順.2 Burp Suiteのプロキシ設定

2.1 Burp Suite起動

ショートカットの作成先に以下のようなショートカットが作成されるので、クリックしてBurp Suiteを起動させる

7.png

プロジェクトの選択画面が表示されるが今回は、ComunityEditionを使用する都合上、「Temporay project in memory」しか選択できないので、このまま「Next」を押下

8.png

既存の定義ファイルを読み込むかの確認画面が表示されるが、
今回は完全新規で作業を行うためこちらもこのまま「Start Burp」を押下

9.pnh.png

起動すると、以下のようにダッシュボードが表示される

10.png

2.2 プロキシリスニング設定

Proxyタブを開き、Proxy Settingウィンドウを表示

11.png

Proxy Settingウィンドウ

12.png

2.3 Proxy listenerに新規設定追加

「Proxy listenrs」セクションの「Add」ボタンを押下

13.png

新規プロキシリスナー作成ウィンドウが表示されるので任意のポート番号と、使用しているPCのローカルIPアドレスを指定し「OK」押下

14.png

手順.3 iphoneのプロキシ設定

3.1 iphoneのWi-Fi設定を開き、接続しているネットワークを選択(PCと同じネットワーク)

15.png

3.2 プロキシ設定を選択し、Proxy listenerに設定したIPアドレスとポート番号を指定

16.png

手順.4 Burp Suiteの証明書をiphoneにインストール

4.1 Burp Suiteで、Proxy > Intercept > Open Browserをクリック

17.png

4.2 Burp Suiteの内蔵ブラウザが開くので、以下のURLにアクセスし、CA証明書をダウンロード

http://burp/cert

18.png

4.3 ダウンロードしたCA証明書をiphoneに送信

iphone内にCA証明書を格納し、CA証明書をタップする

19.png

タップすると以下の表示が出る

20.png

4.4 設定画面からCA証明書をインストールする

設定画面に「ダウンロード済みのプロファイル」と表示されるので選択し、
CA証明書をインストールする

21.png

4.5 インストールしたCA証明書の信頼設定をする

iphoneの設定アプリで、一般 > 情報 > 証明書信頼設定を開き、
インストールしたCA証明書の信頼設定をする

22.png

手順.5 Burp Suite上でiphoneのHTTPトラフィックを確認

Proxy > HTTP historyを開き、実際にHTTPトラフィックを補足できてるか確認する

以下、iphoneでGoogle検索を使用して「柴犬」と検索した際の様子

23.png

24.png

終わりに

本記事では、Burp Suiteを使用してプロキシを構成し、
iPhone上で行われるHTTPトラフィックを解析することができる環境を構築した。

なお本手順を実行する際にPCのファイアウォールやiPhoneのセキュリティの設定を変更した場合は、作業終了後に設定を戻すことを強く推奨する。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?